7 марта, воскресенье 02:22
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Персональные данные можно будет не защищать?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Персональные данные можно будет не защищать?

    Коллеги, вышли очень интересные !ПРОЕКТЫ! документов на тему ПДн. http://www.fsb.ru/fsb/npd/prna.htm, http://www.rsoc.ru/docstore/doc1353.htm?print=1

    Если почитать с точки зрения "экономии средств", то защита остается только физическая и "бумажная". Почему? Безопасность ПДн должна нейтрализовать угрозы, перечень угроз оператор определяет сам. То есть у подавляющего числа операторов актуальных угроз не будет, или будет какой - нибудь "Баян". Нет угроз, нет защиты. Законодательные требования на защиту = 0, вне зависимости от класса, Да и к тому же 0 * количество сертифицированных средств защиты = 0. В итоге пишем документы.

    В тоже время обязательными требованиями остаются физохрана помещений, учет носителей, учет фактов изменения полномочий субъектов доступа к объектам доступа. Опять (с точки зрения компьютерных средств защиты) таки объектом доступа по документам можно сделать например помещение или что-то типа этого, не требующих компьютерных СЗИ (я знаю, что так "обычно" не делают, но документов запрещающих мне это сделать применительно к данной ситуации - нет). В итоге пишем документы.

    Контроль за реализацией требований (пдн) - в ГОС. учреждениях ФСТЭК и ФСБ. В коммерческих организация - сам оператор.
    То есть в организацию по теме ЗПДн может "предти" только РКН, а проверка защиты ПДн не входит в перечень компенсаций данного регулятора


    Возможные вопросы:
    1. Если угроз нет, то как же тогда существующие средства защиты?
    Вариант "оптимизации" - это средства защиты коммерческой тайны (для любой коммерческой организации) Как защищается коммерческая тайна, определяется Руководителем организации. В итоге пишем документы.

    2. Как быть с СТР-К и Приказом 58?
    Вариант "оптимизации" - СТР-К не "легетимем по природе", Приказ 58 - утрвержден во исполнение 781 ПП, новые документы см. начала поста выводят 781 ПП из действия.

    В итоге:
    1. Пишем, пишем, пишем, пишем документы. Современный Руководитель ИБ - это не технарь, это писатель-юрист
    Основной принцип "оптимизации" - правильно писать документы, опираясь на легитимную нормативную базу, и используя действующие понятия "в целях оптимизации".
    2. Защищаем только то, что надо защищать, и то каким образом это нужно. А как нам это нужно сделать по-факту, будут говорить Руководители структурных подразделений организации, которые будут являться ответственными за безопасность ПДн обрабатываемых в подразделениях.
    3. Несем ответственность, по опять таки проектам документов, за не соблюдение юридического оформления бизнес процессов (нет согласий, транс.граничка и т.д.)
    4. Применительно к Банкам эпоха 152-ФЗ ПДн переходит в эпоху 161-ФЗ НПС.
    .
    P.S. Я думаю у многих могут возникнуть вопросы, так здесь указанны только выводы. Если есть предметный вопрос, на каком основании я делаю те или иные выводы готов попытаться предметно ответить. Этот пост надо проверить в споре

    P.P.S Замете, я призываю к конструктивному спору, а не ко флуду.

  • #2
    по факту все примерно так и обстоит....

    Комментарий


    • #3
      http://lukatsky.blogspot.com/2012/09/blog-post_24.html

      Комментарий

      Обработка...
      X